La Commission nationale de la protection des données (CNPD) a présenté le 2 juillet 2013 son rapport d’activités 2012 à la presse.

Ses six avis législatifs ou réglementaires, les 133 plaintes de citoyens, par exemple lorsqu’ils rencontrent des difficultés à faire valoir leur droit d’accès, de rectification ou d’opposition, les 18 investigations à titre préventif, les 1362 déclarations d’organismes qui traitent des données à caractère personnel dont 706 soumis à autorisation préalable montrent pour Gérard Lommel, le président de la CNPD, que la sensibilité des citoyens augmente sur les questions liées à la protection de leurs données. Les vidéosurveillances, dont celles sur le lieu de travail, mais aussi les possibilités de la géolocalisation sont selon la CNPD des sujets forts discutés dans l’opinion publique.   

Les avis législatifs de la CNPD concernent des projets de loi et mesures réglementaires concernant l’exploitation d’une base de données relative aux élèves, l’identifiant unique national, le registre national des personnes physiques, les registres communaux et la carte d’identité électronique, le fonctionnement du registre national du cancer, la réforme du casier judiciaire et le surendettement et la pétition électronique. Une grande partie de ses recommandations ont été suivies, notamment en ce qui concerne le fichier des élèves, constate avec satisfaction son président.

Que ce soit dans le domaine de la santé, de la recherche ou du commerce électronique, la CNPD s’est aussi concertée de façon régulière avec les différents acteurs et s’est efforcée de les inciter à mettre en œuvre des actions visant à assurer la conformité de leurs activités à la législation en vigueur et à se préparer aux modifications du cadre légal européen qui implique une responsabilité accrue ("accountability") de leur part.

De gros dossiers internationaux

La CNPD a été fortement impliquée dans des dossiers internationaux où elle a été "autorité chef de file", c’est-à-dire qu’il lui appartenait de revoir et négocier avec l’accord de ses pairs européens par exemple des améliorations dans les chartes "BCR" (pour Binding Corporate Rules) de deux groupes internationaux ayant leur siège à Luxembourg, dont celle d’ArcelorMittal qui a été validée fin décembre. La charte qui a été négociée avec ArcelorMittal garantit selon la CNPD "que la protection dont bénéficient les employés, clients et fournisseurs du groupe dans l’UE continue à s’appliquer lorsque les données les concernant sont transférées vers des entités implantées sur le territoire de pays tiers disposant d’un niveau de protection insuffisant au regard des standards européens de protection des données". Ensemble avec son homologue française, la CNIL, la CNPD est en train d’examiner le Microsoft Service Agreement et est impliquée dans des dossiers liées au e-commerce et aux cookies – profilage, traçage, etc. – rendus possibles par des moteurs de recherche type Google, mais aussi par les "compteurs intelligents" (smart grid metering) à des fins de marketing.   

Par ailleurs, la modification de la règlementation fait que depuis le 1er septembre 2011, les fournisseurs d’accès à Internet et les opérateurs de services de communication électronique doivent avertir immédiatement la CNPD en cas de survenance d’une violation de la confidentialité des données à caractère personnel ou d’une panne de sécurité. Si un tel incident est susceptible d’affecter défavorablement leurs abonnés, ceux-ci devront également en être informés. La loi entend ainsi mieux protéger les utilisateurs et responsabiliser davantage les opérateurs. Mais cela signifie aussi plus de travail pour la CNPD.

Modernisation du cadre juridique européen sur la protection des données

La CNPD attend beaucoup du nouveau règlement européen sur la protection des données  qui est en cours de négociation et par lequel la Commission européenne veut mettre fin à la fragmentation juridique actuelle : plus de transparence, plus de garanties pour les droits des citoyens, plus de responsabilisation des acteurs qui traitent les données à caractère personnel, plus de moyens d’action aussi pour les autorités de protection des données. Mais Gérard Lommel regrette beaucoup que sous la pression des entreprises et des Etats membres qui mettaient en avant la question des frais, le seuil à partir duquel un responsable de la protection des données, le DPO ou data protection officer, doit être engagé par l’entreprise, ait été abaissé fortement. Et il comprend encore moins que les grandes multinationales du Net aient essayé d’empêcher que le règlement exige la désignation obligatoire de DPO.  

Depuis l’automne 2011, les nouveaux développements de la législation européenne font également l’objet d’une analyse détaillée dans le cadre de la coopération de la CNPD avec le centre de recherche SnT de l’Université du Luxembourg. Le programme de recherche commun se penche aussi sur les nouveaux défis technologiques tels que le "cloud computing", le "smart grid metering" et la place de plus en plus importante prise par les applications mobiles dans notre vie connectée. Son objectif est de contribuer à développer des solutions pragmatiques pour prendre en compte dès la conception technologique et l’organisation des plates-formes et systèmes, les défis en matière de protection de la vie privée ("Privacy by design"). Comme l’a expliqué Gérard Lommel, "le mal et le bien sont très proches l’un de l’autre avec ces technologies qui comportent de grands risques qui doivent être analysés", ce qui est fait dans le groupe de travail art. 29 de l’UE. Pourtant, il ne craint pas que le règlement européen soit obsolète avant d’être mis en œuvre, dans la mesure où "la méthodologie législative se veut indépendante des technologies".     

Une des conséquences du nouveau règlement européen sera que les tâches de la CNPD se déplaceront de l’analyse des notifications et des autorisations qui seront du ressort des DPO responsables de veiller à la licéité des dispositifs de données dans les entreprises devenues "auto-responsables", vers les contrôles sur le terrain du respect des règles européennes qui seront directement applicables dans les Etats membres. Gérard Lommel estime donc que ses effectifs seront suffisants pour cette tâche. Il espère par contre que les autorités nationales seront dotées de pouvoirs plus importants, et notamment du pouvoir d’infliger des amendes financières sensibles, les moyens des cours de justice où la jurisprudence est faible étant de fait réduits.   

Prism et ses conséquences

Mais avec les dernières évolutions de l’affaire du programme Prism – la surveillance à grande échelle par la NSA de données informatiques et téléphoniques de l’UE -, puis de l’affaire du programme Tempora – accès pour les services de renseignement britannique aux câbles transatlantiques à fibres optiques par lesquels transitent les communications téléphoniques et Internet -, le cloud computing est devenu un grand souci des autorités de protection des données, car, souligne Gérard Lommel, la confiance des acteurs économiques et privés concernés est fortement ébranlée.

L’affaire PRISM a d’ailleurs mené à au dépôt de deux plaintes qui vient des milieux activistes qui ont déjà engagé des actions contre Facebook. Ces plaintes visent au Luxembourg Microsoft et Skype, tout comme Yahoo en Allemagne et Facebook en Irlande, ces grandes multinationales du net ayant coopéré avec le programme Prism. Mais Gérard Lommel n’était pas encore en mesure d’en dire plus et est encore perplexe. La CNPD se heurte au mur de la clause de confidentialité de Microsoft et de Skype, et cette clause tombe sous le coup de l’accord "Safe Harbour" signé en 2000 entre l’Espace économique européen (EEE) et les USA. Cet accord avait été conçu pour permettre aux données commerciales de circuler entre les USA et l’UE avec un renforcement des règles de protection des données sur lesquelles 4000 firmes états-uniennes se sont engagées, les règles de l’UE étant plus exigeantes que celles des USA. Mais cet accord ne vaut plus quand les USA invoquent la lutte contre le terrorisme et la sécurité publique. Sauf, constate Gérard Lommel, que dans le cas présent, la clause d’exception a été appliquée à une très large échelle et la règle de proportionnalité n’a pas été respectée. Mais les pouvoirs de la CNPD sont réduits sur ce dossier. La balle est maintenant dans le camp de la politique, et la réponse devra être européenne et globale. Dans une interview donnée au Wort, Gérard Lommel a déclaré par ailleurs que "le programme Prism a touché avec une très haute probabilité des citoyens luxembourgeois".